中小型企业网络的配置与管理.doc

《中小型企业网络的配置与管理.doc》由会员分享，可在线阅读，更多相关《中小型企业网络的配置与管理.doc（25页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、XX信息职业技术学院毕业设计（论文）论文题目：中小型企业网的配置与管理系 别： 专 业: 班 级: 学 号： 学生姓名： 指导教师: 目录1 概述21.1企业网络现状21.2 企业网络建设目标21。2.1 提高带宽性能21。2。2让企业网络稳定、可靠21。2。3让企业网络易于管理32需求分析42.1网络功能需求42.2网络性能需求42.3网络设备需求43方案设计53。1设计原则53.2网络规划53。2。1 vlan划分53.2。2 IP地址分配63.3核心层建设73。2。1核心层作用73.2。2核心层网络类型选择73。2.3核心层交换机选择73.2.4核心层升级方案73。4接入层建设83。4.

2、1 接入层作用83。4.2接入层网络类型选择83。4。4 VLAN的划分83.4.5交换机的选择83.5服务器系统83.5。1服务器系统的作用83。5。2服务器的连接93。5.3服务器的选择94方案实施104。1各设备配置114.1。1 核心交换机配置114。1。2 工作站交换机SW1配置124。1.3工作站交换机SW2配置134。1。4出口路由配置145测试185.1做了单臂路由后，内网全网通信。185。2做了NAT后，实现内网与外网通信。185。3做控制访问列表相关主机测试195.4远程登入管理测试20小结21致谢22摘要中小型企业网的配置与管理摘要：随着计算机网络的迅猛发展，intern

3、et已经延伸到全球的各个角落,渗透到了人类社会的每个领域以及人们日常生活的方方面面。目前，internet的WWW（网络信息服务）服务更是得到了广泛的应用，许多企业建立网站，通过internet来展示企业形象，发布产品资讯，提供服务以及开展电子商务。各级政府部门也积极开展电子政务，网上办公。当今中小企业与大企业一样,都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力.企业信息设施在提高企业效益的同时,也给企业增加了风险隐患.大企业所面临的安全问题也一直困扰着中小企业，关于中小企业网络安全的相关报导也一直层不穷，给中小企业所造成的损失不可估量.由于涉及企业形象的问题，所曝光的事件只是冰山

4、一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性，网络安全问题日益严重。目前网络易遭受的攻击包括分组监听IP、电子欺骗、拒绝服务攻击、木马等。他们都会严重影响企业的收入、声誉、和客户满意度.网络安全问题将给企业带来巨大的危害,企业将承受巨大的经济损失、降低生产率、并失去业务机会。关键词:计算机网络、网络安全、网络技术。1概述1 概述1.1企业网络现状随着中小企业用户市场的不断成熟与需求的日趋稳定,越来越多的安全厂商将加入到中小企业提供广泛的网络安全产品中间来.目前,中小企业用户占我国企业化主体比重的95以上，但由于分布较散,购买力相对较弱，中小企业的安全问题似乎一直没有

5、得到安全厂商的足够重视.市场上的安全产品五花八门种类繁多,但是针对中小企业的安全解决方案寥寥无几.产品仅仅是简单的客户端加服务器，不能完全解决中小企业用户所遭受的安全威胁.目前的中小企业由于人力和资金上的限制,企业网络系统相对简单，有的甚至只是实现简单的互联功能，或者靠简单的分发工具。据了解许多中小企业没有设置专门的网络管理员，一般采用兼职管理方式，重视中小企业的网络管理在安全性方面存在严重漏洞，与大型企业、行业用户相比，他们更容易受到网络病毒的侵害，损失同样严重。另一方面,由于网络维护、运行、升级等实物工作繁重而且成本较高,这也使得善于精打细算的中小企业在防范病毒问题上进退两难。1.2 企业

6、网络建设目标1。2。1 提高带宽性能现在大部分的中小型企业，由于带宽有限，加上不必要的带宽消耗，让企业网络的整体网络性能大大减少。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。1。2。2让企业网络稳定、可靠无论是大型企业还是中小型企业都要具备稳定可靠性，以实现网络通信的实时畅通，保障企业生产运营的正常

7、进行。随着企业各种业务应用逐渐转移到计算机网络上来。网络通信的无中断运行已经成为保证企业正常生产运营的关键1.2.3让企业网络易于管理目前，许多中小企业没有专门的网络管理员，网络管理在安全性方面存在严重漏洞。设立网管中心有利于企业网络的管理，某种程度上也增加了企业网络的安全性.212需求分析2。1网络功能需求u 共享公司的各种信息资料，发布公司内部及时消息.u 实时传递行业政策、市场变化信息；及时获取国际国内重大新闻等信息。u 动态查询产品的生产、销售、库存等实时数据和客户、员工的档案信息。u 提供销售、生产、会计、统计等报表供相关人员查阅、分析。u 发布电脑方面的文章以提高员工的计算机知识；

8、发布相关业务培训内容.u 以FTP方式提供大量应用软件和实用工具，供内部员工下载使用。u 通过代理服务器使公司的计算机均能以低廉费用接入Internet。2。2网络性能需求u 经济性u 实用性u 稳定性u 安全性u 易管理性u 可扩展性2.3网络设备需求中小企业网计划采用10M的光线以太网接入到因特网服务提供商的网络,然后接入到因特网中，使企业实现与外界的信息交换和网络通信。整个企业统一一个出口访问internet.网络设备必须在技术上具有先进性、通用性、必须便于管理、维护。网络设备应应该具备未来良好的可扩展性、可升级性，保护用户的投资。网络设备必须具有良好的在方案设计满足功能与性能的基础上性

9、能价格比最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。3方案设计3.1设计原则 经济性:用性价比较好的网络及设备,以较低廉的投资获取较高性能。 实用性：确保信息加速传递、提高工作效率，节约办公费用. 操作性： 界面图形化、操作按钮化，办公人员在简单培训后能熟练运用。 扩展性： 新增的硬件设备能方便接入网络;软件便于更新、维护、升级。3。2网络规划局域网分为核心层、工作站层、接入层、服务器群四个部分来设计拓扑结构如图1：图1：企业网络规划图3.2。1 vlan划分表1：VLAN划分表中心交换机Vlan号110203040IP地址1

10、92.168.1.2-接入设备WWW服务器、DNS服务器打印机FTP服务器Mail服务器SW1Vlan号11020IP地址192。168.1。4-接入部门-财务部人事部SW2Vlan号13040IP地址192。168。1.5-接入部门-市场营销部客服部3。2.2 IP地址分配表2：IP地址分配表财务部192.168.10.0/24人事部192.168。20。0/24市场营销部192。168。30。0/24客服部192。168。40。0/24WWW服务器192。168.10.0/24DNS服务器192。168。10。0/24打印机192。168.20.0/24FTP服务器192。168.30.0

11、/24Mail服务器192。168。40。0/24Router1F0/0192.168.1.1/24S1/1202。101。2.10/24F0/0.1192.168.10.1/24F0/0.2192.168。20。1/24F0/0。3192.168。30.1/24F0/0。4192。168.40.1/24ISP服务商地址192。168。2.13.3核心层建设3。2.1核心层作用核心交换机位于网络中心，是整个局域网的灵魂。它对整个网络的性能、可靠性起决定性作用。它连接各个物理子网;负责高速地对端到端设备进行数据包交换；控制VLAN间访问；保证信息安全.3。2。2核心层网络类型选择作为主干网连接着

12、服务器和楼层交换机,可局部采用千兆以太网。千兆以太网可提供 1Gbps的通信带宽,具有以太网简易性,比其它类似速率的通信技术价格低廉。千兆以太网还能在当前以太网基础上平滑过渡，这意味着现有的投资可以在合理的初始开销上延续到千兆以太网,不需要对技术支持人员和用户做重新培训，无需另外配置协议、购买中间部件，具有一定的前瞻性。3。2.3核心层交换机选择在进行网络规划设计时核心层的设备通常要占大部分投资，为了减少投资，我们选择两层交换.3。2。4核心层升级方案 添加接口模块数量，实现用户和信息点的扩充； 改用光纤,提高主干带宽； 提高主干带宽、实现主干线路互备份;3。4接入层建设3。4.1 接入层作用

13、入层交换机为楼层工作组级交换机，为每个用户提供100Mbps以太接入端口，负责将用户数据馈入网络。它直接完成本地数据交换，将其它网段数据送到核心层。通过 VLAN 的合理划分，方便用户在网络中移动,保证部门信息安全。3。4.2接入层网络类型选择在当今现有的高速局域网技术中，由于快速以太网(100BASE-T)性能优良、价格低廉、升级和维护方便，通常都将它作为首选。快速以太网在过去广泛接的10BASE-T以太网基础之上，提供向100Mbps的平滑、连续性的网络升级。3。4.3交换机的连接工作站少的部门只需一台二层交换机，下联用户端上联核心交换机.信息点分布密集的部门采用多台交换机堆叠或者级联.连

14、接介质可以是光纤、双绞线.3.4。4 VLAN的划分通过VLAN 实现隔离和限制本地流量的功能:把工作内容相近的PC机、经常共享数据的信息点划分在同一个 VLAN 中可以提高网络效率；设定相应地访问权限可以增强网络安全。根据员工分布情况，二层交换机可以每个独立构成一个VLAN，也可以多个构成一个VLAN。3。4.5交换机的选择高端口密度、支持VLAN划分.3.5服务器系统3。5.1服务器系统的作用服务器群的主要功能是为客户端提供各种网络服务，包括：资源共享、Web服务、文件传输、域名解析3。5。2服务器的连接服务器的连接位置可以很灵活，整个网络用户都公用的服务器直接连到核心交换机上，连接介质可

15、以采用光纤或双绞线。各个部门单独使用的服务器可以连到部门交换机上，提供该部门的特定网络服务。3。5。3服务器的选择表3：服务器选择功 能服务器名称域名解析DNS服务器IP 选项自动配置DHCP服务器 资源共享FTP服务器电子邮件收发管理Mail服务器浏览网页Web服务器4方案实施公司网络拓扑图，如图2。图2 公司网络拓扑图1、 在中心交换机上划分4个VLAN，分别为VLAN10、VLAN20、VLAN30、VLAN40，WEB服务器、DNS服务器接入vlan10，打印机、FTP服务器、mail服务器分别接入VLAN20、VLAN30、VLAN40。2、 在SW1上划分两个vlan:vlan10

16、、vlan20。分别作为公司的财务部和人事部。3、 在SW2上划分两个vlan:vlan30、vlan40。分别作为公司的市场营销部和客服部。4、 出于方便，我们在出口路由上做DHCP服务,让市场营销部和客服部的员工能自动学习到IP地址。5、 为了公司不同的部门之间可以互相访问,在出口路由器上做单臂路由.6、 通过在router1上做NAT地址转换,让总公司的用户能快速访问Internet。7、 通过端口映射,是外网能访问内网的WWW服务器8、 公司除了中心网管，所有用户都能正常访问内网WWW服务器.9、 禁止中心网管访问外网。10、 打印机只供财务部和人事部使用。11、 全网设备开启TELN

17、ET，让管理服务器可以登陆进行管理.方案实施4。1各设备配置4。1.1 核心交换机配置Switchenable 进入特权配置模式Switch#configure 进入全局配置模式Switch(config)vlan 10 创建vlan10Switch（configvlan)#exit 退出Switch(config）int r f0/3-8 Switch(configifrange)switchport access vlan 10 把相应接口加入vlan10Switch(configif-range)#exitSwitch(config)#vlan 20Switch(config-vlan)

18、exitSwitch(config）#int r f0/911Switch(configif-range)switchport access vlan 20Switch（config-ifrange)#exitSwitch（config）vlan 30Switch（configvlan)#exitSwitch(config)int r f0/1214Switch（configifrange)switchport access vlan 30Switch（config-if-range)#exitSwitch（config）vlan 40Switch(config-vlan）#exitSwitc

19、h(config）#int r f0/15-18Switch（config-ifrange)#switchport access vlan 40Switch（configifrange）exitSwitch(config）int r f0/21-24Switch（configif-range)#switchport mode trunk 把相应接口打trunkSwitch(configif-range）exitSwitch(config)#interface vlan 1 进入vlan1Switch（configif）ip address 192.168.1.2 255。255.255.0 配

20、置IP地址Switch(configif)no shutdown 启用该vlanSwitch（configif）#exitSwitch（config）int f0/1 进入f0/1口Switch(config-if）switchport mode access 把接口模式改为ACCESS口Switch(configif)switchport port-security 启用端口安全措施Switch（configif)switchport port-security violation protect 指出出现安全违规时应该发生的事Switch(configif）switchport ports

21、ecurity mac-address 0001。970C。7AE9 端口和MAC地址绑定Switch（configif)#exitSwitch(config）#enable password 123 设置登入特权模式密码Switch(config）line vty 0 1 开启telnet功能Switch(configline）password admin 321 设置telnet登入密码Switch(config-line)#login 允许telnet登入Switch（configline）exit4。1。2 工作站交换机SW1配置SwitchenableSwitchconfigureS

22、witch(config)#vlan 10Switch（configvlan)#exitSwitch（config)int r f0/1-10Switch(config-if-range）switchport access vlan 10Switch（config-if-range）exitSwitch（config)vlan 20Switch（configvlan）#exitSwitch(config）int r f0/11-20Switch(config-ifrange)switchport access vlan 20Switch（configifrange）#exitSwitch(co

23、nfig)int r f0/2324Switch(configif-range)#switchport mode trunkSwitch（config-ifrange）#exitSwitch(config）#interface vlan 1Switch（config-if)#ip address 192。168.1。4 255.255。255。0Switch(configif)#no shutdownSwitch(configif)exitSwitch（config)#enable password 123Switch(config）#line vty 0 1Switch(configline

24、）password admin 321Switch（configline）login4。1.3工作站交换机SW2配置SwitchenableSwitchconfigureSwitch（config）#vlan 30Switch（config-vlan)exitSwitch（config）int r f0/1-10Switch(config-ifrange)#switchport access vlan 30Switch（configifrange）#exitSwitch(config）#vlan 40Switch（config-vlan）#exitSwitch(config）#int r f0

25、/1120Switch(config-if-range）#switchport access vlan 40Switch（config-if-range）#exitSwitch（config)int r f0/2324Switch(configifrange)#switchport mode trunkSwitch(configif-range)#exitSwitch(config）#interface vlan 1Switch(configif)ip address 192.168。1.5 255.255.255.0Switch(config-if)no shutdownSwitch（con

26、figif）#exitSwitch（config）#enable password 123Switch(config)line vty 0 1Switch(config-line）#password admin 321Switch（configline)login4.1.4出口路由配置Routerenable 进入特权配置模式Routerconfigure terminal 进入全局配置模式Router（config）interface f0/0 进入f0/0接口Router(configif)ip address 192.168.1.1 255。255.255.0 配置接口IP地址Route

27、r(configif）#no shutdownRouter(config-if)#exitRouter(config）int f0/0.1 进入f0/0下的子接口Router(config-subif)encapsulation dot1Q 10 绑定vlan中继协议Router(config-subif）#ip address 192。168.10。1 255。255。255.0 配置子接口IPRouter(configsubif)#no shutdown 激活该子接口Router(configsubif)exitRouter（config）#int f0/0。2 进入f0/0下的相应子接口

28、Router（configsubif)encapsulation dot1Q 20 绑定vlan中继协议Router（config-subif）#ip address 192.168。20。1 255。255。255.0 配置子接口IPRouter（config-subif)#no shutdownRouter（config-subif）#exitRouter(config)#int f0/0。3Router（configsubif）#encapsulation dot1Q 30Router（configsubif)#ip address 192.168.30。1 255.255。255.0R

29、outer(config-subif)#no shutdownRouter(config-subif)#exitRouter(config)int f0/0。4Router（config-subif)#encapsulation dot1Q 40Router(config-subif）ip address 192.168。40.1 255。255。255。0Router（configsubif)no shutdownRouter(configsubif)exitRouter（config）Router（config)#int s1/1 进入s1/1口Router（config-if)#ip a

30、ddress 202.101.2。10 255。255.255.0 配置IP地址Router（config-if)#clock rate 9600 设置时钟频率Router(configif）#no shutdown 激活该接口Router（configif）exit Router(config）access-list 1 permit 192。168.0.0 0.0。255。255 允许192.168。0。0网段的数据包Router（config)#access-list 101 deny tcp 192.168。1.0 0。0.0。255 192.168。10.3 0.0.0.255 eq

31、 www 拒绝192。168.1。0网段的所有主机通过WWW访问192.168.10.3主机Router（config)accesslist 101 permit ip any any 控制访问列表101允许其他IPRouter（config）#access-list 102 deny ip 192。168.1.0 0。0。0.255 202。101。2.0 0.0.0。255 将192。168。1。0网段的数据包丢弃Router（config)accesslist 102 permit ip any anyRouter(config)#accesslist 103 deny ip 192.1

32、68.30.0 0。0。0.255 host 192.168。20.3 拒绝192。168。30.0网段的主机访问地址为192。168。20。3的主机Router（config）access-list 103 deny ip 192.168。40.0 0.0。0。255 host 192。168。20。3Router（config)access-list 103 permit ip any anyRouter(config）#ip nat pool 1 202。101。2。100 202。101。2.200 netmask 255.255。255.0Router（config)#ip nat

33、inside source list 1 pool 1 overload 将ACL1允许的原地转转换成POOL 1中的地址Router（config）#ip nat inside source static tcp 192。168.10。3 80 202。101.2.10 80 将192。168。10。3的80端口映射到202。101.2。10的80端口Router（config）ip dhcp pool vlan30 定义名为vlan30的地址池Router（config)network 192.168.30。0 255。255.255.0 定义该地址池的地址段Router（config）d

34、efaultrouter 192.168。30.1 定义分配给PC的网关Router(config)ip dhcp pool vlan40Router（config）network 192.168。40。0 255。255.255.0Router(config)defaultrouter 192。168.40。1Router(config）#enable password 123Router(config）#line vty 0 1Router（configline) password admin 321Switch（config-line）#loginRouter(config)interf

35、ace f0/0Router（configif)ip accessgroup 101 in 该接口为NAT内部接口Router（configif）ip accessgroup 102 inRouter(configif)# ip nat inside Router(config-if）exitRouter(config）#int f0/0.1Router（configsubif)# ip nat insideRouter(config-subif)#exitRouter（config)int f0/0。2Router（config-subif）ip nat insideRouter(confi

36、g-subif)exitRouter(config)#int f0/0。3Router（configsubif)ip nat insideRouter（configsubif)ip accessgroup 103 inRouter(config-subif)#exitRouter(config)#int f0/0。4Router（configsubif)#ip nat insideRouter（config-subif)ip accessgroup 103 inRouter（config-subif)exitRouter（config)int S1/1Router(configif）#ip n

37、at outside 该接口为NAT外部网络测试5测试5。1做了单臂路由后,内网全网通信.以客服部主机做测试PC.与WWW服务器通信，见图3图3 与WWW服务器通信测试图与FTP服务器通信，见图4图4 与FTP服务器通信测试图与打印机通信，见图5图5 与打印机通信测试图与财务部通信，见图6图6 与财务部通信测试图5.2做了NAT后，实现内网与外网通信。中心网管主机做测试PC，见图7图7 与外网通信测试图5。3做控制访问列表相关主机测试中心网管不能通过WWW访问web服务器，见图8:图8 访问WEB服务器测试图中心网管无法与外网通信,见图9。图9 与外网通信测试图市场营销部不能使用打印机，见图1

38、0图10 与打印机通信测试图客服部不能使用打印机，见图11图11 与打印机通信测试图5。4远程登入管理测试以中心网管主机做测试PC远程管理router1，见图12图12 远程管理router1测试图远程管理核心交换机，见图13图13 远程管理核心交换机测试图远程管理SW1，见图14图14 远程管理SW1测试图远程管理SW2，见图15图15 远程管理SW2测试图小结小结3年的大专生活即将结束,此时此刻我要特别感谢我的指导老师，在张尚韬老师的悉心指导和严格要求下,我顺利完成了毕业论文。从课题选择、方案论证到具体设计和调试,无不凝聚着张尚韬老师的心血和汗水，在校学习和生活期间，也始终感受着导师的精心

39、指导和无私的关怀,这让我受益匪浅。在此向张尚韬老师及学校的所有老师表示深深的感谢和崇高的敬意.致谢致谢经过这段时间的努力毕业论文终于完成了.论文过程当中，我遇到不少的问题。从中，我得到了导师的帮助，也得到了同学的帮助。感谢XX老师对我的细心的帮助，也感谢帮助我的同学的无私帮助。 感谢我三年的大专生活中，教育过我的各位老师， 有了你们的指导，我学习到了很多专业方面的知识；感谢各位领导，有了你们对同学们的戏言细语，让我们学习到了如何为人处事；感谢我的同学，有了你们的陪伴,让我在这即将结束的大专生活中增添许多的欢声笑语。 最后，祝各位老师们工作美好，生活美好！祝所有同学们工作顺利、事业有成！参考文献:1 罗贤春.我国中小企业信息化建设对策研究(EB/OL)2 王达等。金牌网管师(M)。 北京市:水利水电出版社.2009.1201503 网络互联技术与网络设备 甘刚 孙继军 主编